緩解基于 DNS 的 DDoS 攻擊的方法有哪些

緩解基于DNS的DDoS攻擊的方法有以下這些：

• 屏蔽主動發送的DNS響應信息：如果服務器在沒有接收到查詢請求之前，就已經生成了對應的響應信息，那么服務器就應該直接丟棄這一響應信息。這種機制能夠有效地緩解反射攻擊所帶來的影響。一個典型的DNS交換信息是由請求信息組成的。DNS解析器會將用戶的請求信息發送至DNS服務器中，在DNS服務器對查詢請求進行處理之后，服務器會將響應信息返回給DNS解析器。但值得注意的是，響應信息是不會主動發送的。

• 丟棄快速重傳數據包：即便是在數據包丟失的情況下，任何合法的DNS客戶端都不會在較短的時間間隔內向同一DNS服務器發送相同的DNS查詢請求。因此，如果從相同源地址發送至同一目標地址的相同查詢請求發送頻率過高，那么服務器必須將這些請求數據包丟棄。

• 啟用TTL屏蔽數據包：對于一個合法的DNS客戶端而言，如果它接收到了響應信息，那么它就不會再次發送相同的查詢請求。如果數據包的TTL生存時間到了，那么系統應該對每一個響應信息進行緩存處理。當攻擊者通過大量查詢請求來對DNS服務器進行攻擊時，我們就可以屏蔽掉不需要的數據包了。

• 丟棄未知來源的DNS查詢請求和響應數據：通常情況下，攻擊者會利用腳本來對目標進行分布式拒絕服務攻擊（DDoS攻擊），而且這些腳本通常針對的都是軟件中的漏洞。因此，如果我們能夠在服務器中部署簡單的匿名檢測機制，我們就可以限制傳入服務器的數據包數量了。

• 對未見過的數據包直接丟棄：這類請求信息很可能是由偽造的代理服務器所發送的，或者是由于客戶端配置錯誤，也有可能是開發人員用于調試的請求信息。但是我們應該知道，這也有可能是攻擊者發送的。所以無論是哪一種情況，都應該直接丟棄這類數據包。

回答所涉及的環境：聯想天逸510S、Windows 10。